Penetrationstest

Browser-in-the-Browser-Angriffe: Wie gefälschte Login-Fenster Zugangsdaten stehlen

Jan Kahmen5 min Lesezeit

Was ist ein Browser-in-the-Browser-Angriff?

Ein Browser-in-the-Browser-Angriff (BitB) ist eine Phishing-Technik, bei der Angreifer ein täuschend echtes Login-Popup direkt im Browser simulieren. Im Gegensatz zu klassischem Phishing, das Nutzer auf eine komplett gefälschte Webseite leitet, öffnet sich bei einem BitB-Angriff ein vermeintlich neues Browserfenster innerhalb der aktuellen Seite. Dieses Fenster sieht aus wie ein legitimes Single-Sign-On-Popup von Google, Microsoft, Apple oder einem anderen Identity Provider — ist aber tatsächlich nur eine Kombination aus HTML, CSS und JavaScript.

Die Technik wurde 2022 vom Sicherheitsforscher mr.d0x dokumentiert und veröffentlicht. Er demonstrierte, dass sich mit wenigen Zeilen Code ein Browserfenster inklusive Adressleiste, Favicon und HTTPS-Schloss so realistisch nachbilden lässt, dass selbst erfahrene Nutzer den Unterschied kaum erkennen. Im Rahmen von Penetrationstests und Phishing-Simulationen hat sich gezeigt, dass die Erfolgsquote dieser Technik deutlich über der klassischer Phishing-Seiten liegt.

Warum Single Sign-On den Angriff begünstigt

Single Sign-On (SSO) ist allgegenwärtig. Auf Plattformen wie Steam, GitHub, Slack oder Dutzenden weiteren Diensten können Nutzer sich per „Mit Google anmelden" oder „Mit Microsoft anmelden" authentifizieren. Dabei öffnet der Browser ein Popup-Fenster zur Authentifizierung beim Identity Provider. Genau dieses Verhalten macht SSO zum idealen Angriffsziel für BitB.

Nutzer sind daran gewöhnt, in solchen Popups ihre Zugangsdaten einzugeben. Sie prüfen bestenfalls die URL in der Adressleiste des Popups — doch bei einem BitB-Angriff ist diese Adressleiste selbst gefälscht. Was wie https://accounts.google.com aussieht, ist in Wirklichkeit ein HTML-Element mit statischem Text und einem grünen Schloss-Symbol. Die tatsächliche URL der Phishing-Seite bleibt verborgen.

Technischer Aufbau des Angriffs

Der BitB-Angriff nutzt keine Schwachstelle im Browser selbst, sondern die visuelle Erwartungshaltung der Nutzer. Der technische Aufbau ist dabei erstaunlich einfach:

  1. Gefälschtes Fenster per HTML/CSS: Ein <div>-Element wird so gestaltet, dass es wie ein eigenständiges Browserfenster aussieht — mit Titelleiste, Schließen-Button, Adressleiste und Fensterrahmen. CSS-Schatten und Transparenzeffekte verstärken die Illusion.

  2. Simulierte Adressleiste: Die URL des Identity Providers wird als statischer Text dargestellt. Das HTTPS-Schloss wird als eingebettetes Bild oder SVG-Icon angezeigt. Da die URL nicht in einer echten Browserleiste steht, kann der Angreifer beliebige Adressen anzeigen.

  3. Eingebettetes Phishing-Formular: Innerhalb des gefälschten Fensters wird ein Login-Formular geladen — entweder als statische Nachbildung der echten Login-Seite oder als <iframe> mit einer vom Angreifer kontrollierten Seite.

  4. Datenexfiltration: Sobald das Opfer seine Zugangsdaten eingibt und auf „Anmelden" klickt, werden die Daten an den Server des Angreifers übermittelt. Anschließend leitet die Seite oft zum echten Dienst weiter, sodass der Nutzer nichts bemerkt.

Die Angriffstechnik ist für Organisationen besonders relevant, die ihre externe Angriffsfläche über Attack-Surface-Management überwachen. Denn die Phishing-Seiten selbst können auf kompromittierten oder ähnlich klingenden Domains gehostet werden, die im Rahmen eines Domain-Monitorings auffallen sollten.

So erkennen Sie gefälschte Login-Fenster

Es gibt mehrere zuverlässige Methoden, um ein echtes Browser-Popup von einem BitB-Angriff zu unterscheiden:

Fenster minimieren oder verschieben

Ein echtes Browser-Popup ist ein eigenständiges Betriebssystemfenster. Es lässt sich unabhängig vom Hauptfenster minimieren, maximieren und über den Bildschirmrand hinaus verschieben. Ein gefälschtes BitB-Fenster hingegen ist ein HTML-Element innerhalb der Webseite. Es kann die Grenzen des Browserfensters nicht verlassen. Versuchen Sie, das vermeintliche Popup über den Rand des Hauptfensters zu ziehen — bleibt es innerhalb, ist es gefälscht.

Adressleiste prüfen

In einem echten Popup können Sie die URL in der Adressleiste anklicken, markieren und bearbeiten. Bei einem gefälschten Fenster ist die Adressleiste ein statisches Bild oder ein nicht editierbarer Text. Klicken Sie in die Adressleiste und versuchen Sie, die URL zu verändern — funktioniert das nicht, handelt es sich um eine Fälschung.

Tastenkombinationen testen

Echte Browserfenster reagieren auf Tastenkombinationen wie Strg+L (Adressleiste fokussieren) oder F5 (Seite neu laden). Ein gefälschtes Popup reagiert auf diese Befehle nicht oder zeigt unerwartetes Verhalten.

Taskleiste kontrollieren

Ein echtes Popup-Fenster erscheint als separater Eintrag in der Taskleiste des Betriebssystems. Ein BitB-Angriff erzeugt keinen solchen Eintrag, da das gefälschte Fenster Teil der bestehenden Webseite ist.

Schutzmaßnahmen gegen BitB-Angriffe

Passwort-Manager verwenden

Ein Passwort-Manager ist die effektivste Verteidigung gegen BitB-Angriffe. Er füllt Zugangsdaten nur dann automatisch aus, wenn die Domain exakt übereinstimmt. Da das gefälschte Popup keine echte URL besitzt — die angezeigte URL ist nur visueller Text — wird der Passwort-Manager die Zugangsdaten nicht anbieten. Wenn der Passwort-Manager auf einer Login-Seite keine Daten vorschlägt, obwohl ein Eintrag vorhanden ist, sollte das ein Warnsignal sein.

Zwei-Faktor-Authentifizierung einrichten

Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Schutzschicht. Selbst wenn Angreifer über einen BitB-Angriff Benutzername und Passwort erbeuten, benötigen sie noch den zweiten Faktor. TOTP-basierte Authenticator-Apps sind dabei sicherer als SMS-Codes, da SIM-Swapping-Angriffe SMS-basierte 2FA umgehen können.

Allerdings ist klassische 2FA kein vollständiger Schutz. Echtzeit-Phishing-Proxys wie evilginx2 können den zweiten Faktor zusammen mit dem Session-Token abfangen, indem sie die Eingaben des Opfers in Echtzeit an den echten Dienst weiterleiten. Ein robustes Schwachstellenmanagement hilft dabei, solche Angriffsvektoren in der eigenen Infrastruktur frühzeitig zu identifizieren.

Hardware-Security-Keys als stärkster Schutz

FIDO2/U2F-Hardware-Tokens wie der YubiKey bieten den wirksamsten Schutz gegen BitB und Phishing-Angriffe insgesamt. Bei der Authentifizierung prüft der Hardware-Key kryptografisch die Domain des Dienstes. Da ein BitB-Popup keine echte Domain hat, schlägt die Authentifizierung fehl — der Key verweigert schlicht die Signierung.

Dieser Schutz funktioniert auch gegen Echtzeit-Phishing-Proxys, da der kryptografische Handshake an die echte Domain gebunden ist. Selbst wenn ein Angreifer den Datenverkehr in Echtzeit weiterleitet, stimmt die Domain nicht überein und der Token wird nicht ausgestellt.

Organisationen sollten den Einsatz von Hardware-Security-Keys insbesondere für privilegierte Konten und administrative Zugänge priorisieren. Im Rahmen von regelmäßigen Penetrationstests lässt sich die Wirksamkeit der implementierten Authentifizierungsmechanismen überprüfen.

Was tun im Verdachtsfall?

Wenn Sie vermuten, Zugangsdaten in einem gefälschten Login-Fenster eingegeben zu haben:

  1. Passwort sofort ändern — direkt über die offizielle Webseite des betroffenen Dienstes, nicht über Links aus E-Mails oder Nachrichten.
  2. Aktive Sitzungen prüfen — die meisten Dienste zeigen unter den Sicherheitseinstellungen eine Liste aktiver Sessions. Unbekannte Sitzungen beenden.
  3. 2FA aktivieren oder Token widerrufen — falls noch nicht aktiviert, jetzt einrichten. Falls bereits aktiv, alle Recovery-Codes erneuern.
  4. Vorfall melden — in Unternehmensumgebungen den Vorfall dem IT-Sicherheitsteam melden. Ein etablierter Incident-Response-Prozess stellt sicher, dass kompromittierte Zugänge schnell isoliert und weitere betroffene Systeme identifiziert werden.

Fazit

Browser-in-the-Browser-Angriffe sind deshalb so gefährlich, weil sie auf der visuellen Vertrauensbasis moderner Browser aufbauen. Nutzer haben gelernt, die URL-Leiste als Vertrauensanker zu nutzen — und genau diesen Anker fälscht der BitB-Angriff. Klassische Phishing-Erkennung über die URL versagt hier, weil die angezeigte URL täuschend echt aussieht.

Die wirksamsten Gegenmaßnahmen sind technischer Natur: Passwort-Manager, die Domains kryptografisch prüfen, und Hardware-Security-Keys, die eine Authentifizierung auf gefälschten Domains unmöglich machen. Kombiniert mit Phishing-Simulationen zur Sensibilisierung der Mitarbeiter und regelmäßigem Attack-Surface-Management zur Erkennung verdächtiger Domains ergibt sich ein mehrschichtiger Schutzansatz, der BitB-Angriffe wirksam adressiert.